Sentinel 7.4.4.1リリースノート

問題: Sentinel HAでアクティブノードをFIPS 140-2モードに変換すると、すべてのパッシブノードをFIPS 140-2モードに変換するための同期が完全に実行されません。手動で同期を開始する必要があります。(バグ1014472)

解決策: 次の手順を実行します。

問題: Sentinelで、Sentinel Link Connectorからイベント受信することができません。(バグ996775)

解決策: Sentinel Link Connectorバージョン2011.1r4ではこの問題が解決されています。SentinelプラグインWebサイトで正式にリリースされるまでは、プレビューバージョンのConnectorをプレビューセクションからダウンロードできます。

問題: NetIQ eDirectory Instrumentationは、プラットフォームエージェントを介して監査コネクタに接続できません。したがって、SentinelはeDirectoryからイベントを受信できません。この問題が発生する原因は、Sentinel 7.4 SP2で使われているJava 8 update 77で非推奨となったMD5 RSA証明書アルゴリズムをeDirectory Instrumentationが使用しているためです。(バグ985312)

解決策: eDirectoryインストラメンテーションでカスタム証明書を使用できるようにするには、NetIQ Knowledgebase Article 7017764に記載されている手順を実行してください。

問題: アプライアンスをバージョン7.4 SP1以降にアップグレードする際、Sentinelで次の警告が表示されます。

解決策: この警告は無視してください。アップグレードに影響はありません。

問題: Sentinel SDKを使用してレポートの作成ができません。(バグ966406)

解決策: Sentinel SDKを使用してレポートを作成するには、NetIQ Knowledgebase Article 7017293に記載された手順を実行します。

問題: Sentinel 7.3 SP1に組み込まれたセキュリティ脆弱性の修正により、セキュリティ保護接続のための通信メカニズムが変更されました。これらの変更点はSentinel UNIXエージェント7.4との互換性がありません。そのため、SentinelはSentinel UNIXエージェント7.4からイベントを受け取ることができません。(BUG 953990)

解決策: 現時点で解決策はありません。この問題は、互換性のあるSentinel UNIXエージェントのバージョンが入手できるようになったときに解決されます。

問題: Sentinelアプライアンスをバージョン7.3 SP1以降にした後、NFSをセカンダリストレージの場所として設定しようとすると、Sentinelでエラーが表示されます。(バグ934851)

解決策: Sentinelアプライアンスをアップグレードした後、次のコマンドを使用してSLESオペレーティングシステムを再起動します。

問題: Sentinelをバージョン7.3からバージョン7.3 SP1にアップグレードし、Sentinelサーバを起動すると、以下の例外がサーバログに記録されることがあります。

解決策: 例外を無視します。この例外によるSentinelのパフォーマンスへの影響はありません。

問題: Sentinelは、Secure Configuration Managerとの通信にDiffie-Hellmanプロトコルを使用します。Logjamの脆弱性の修正の一部として、SentinelでのDiffie-Hellmanプロトコル用証明書キーサイズが大きくされ、2048になりました。しかし、Secure Configuration Managerでは、デフォルトの証明書キーサイズ(1024)が使用されています。この不一致のため、Secure Configuration ManagerがSentinelと通信できなくなります。(バグ935987)

解決策: Secure Configuration Managerをバージョン6.1にアップグレードします。詳細については『NetIQ Secure Configuration Manager 6.1 Release Notes』を参照してください。

問題: Sentinelアラートビューおよびアラートダッシュボードで、IPアドレスフィールドにIPv6アドレスを使用したアラートが表示されません。(バグ924874)

解決策: SentinelでIPv6アドレスが関係するアラートを表示するには、NetIQナリッジベース記事7016555で言及されている手順を実行してください。

問題: SentinelリンクコネクタにBar Mitzvahセキュリティ脆弱性がある。Sentinelリンクコネクタでは、SSLおよびTSLプロトコルでRC4アルゴリズムが使用されており、そのためにストリームの先頭バイトに対するプレーンテキスト回復攻撃が可能になる場合があります。詳細については、CVE-2015-2808を参照してください。(バグ933741)

解決策: Sentinel Link Connectorバージョン2011.1r4ではこの問題が解決されています。SentinelプラグインWebサイトで正式にリリースされるまでは、コネクタをプレビューセクションからダウンロードできます。

問題: イベントを解析するコレクタが複数の接続モードをサポートしている場合、エージェントマネージャコネクタのバージョン2011.1r3はイベントのCONNECTION_MODEプロパティを設定しません。(バグ880564)

解決策: エージェントマネージャコネクタのバージョン2011.1r5でこの問題は解決しています。SentinelプラグインWebサイトで正式にリリースされるまで、コネクタはプレビューセクションからダウンロードできます。

問題: Sentinelエージェントマネージャは、SMServiceHost.exe.configファイルのRawDataTapFileSize属性に指定されている生データファイルサイズ構成の値を無視して、ファイルサイズが10 MBに達すると生データファイルへの書き込みを停止します。(バグ867954)

解決策: ファイルサイズが10 MBに達したら、生データファイルの中身を別のファイルに手動でコピーしてから中身を消去すると、Sentinelエージェントマネージャが新しいデータを書き込めるようになります。

問題: Sentinel のアップグレードされたインストール環境で、Webインタフェースのヒントテーブルのアラート属性を検索すると、検索はアラートフィールドの完全なリストを返しません。しかし、検索を消去すると、ヒントテーブルにアラートフィールドが正常に表示されます。(バグ914755)

解決策: 現時点で解決策はありません。

問題: 目視可能文字形式のIPv6アドレスフィールドを外部データベースと同期しようとするとデータ同期が失敗します。IPアドレスフィールドにドット表記の目視可能文字形式で取り込むようにSentinelを構成するには、『NetIQ Sentinel Administration Guide』の「Creating a Data Synchronization Policy」で詳細情報を参照してください。(バグ913014)

解決策: この問題を解決するには、ターゲットデータベースでIPアドレスフィールドの最大サイズを手動で最低46文字に変更してから、データベースを再同期してください。

問題: ユーザの役割のセキュリティフィルタが空白で、イベント表示許可がない役割であると、イベント検索を実行しても検索が完了しません。検索には、無効なイベント表示許可に関するエラーメッセージは表示されません。(バグ908666)

解決策: 以下のいずれかのオプションを使用して、役割をアップデートしてください。

問題: Sentinel 7.2から新しいバージョンにアップグレードされた保存済み検索を編集する際、検索レポートCSVの出力フィールドを指定するのに使用する［イベントフィールド］パネルがスケジュールページにありません。(バグ900293)

解決策: Sentinelをアップグレードしたら、スケジュールページに［イベントフィールド］パネルが表示されるように、検索を再作成して再スケジュールします。

問題: ルールの相関要約ページの［アクティビティ統計情報］パネルの［起動回数］の隣にあるアイコンをクリックすることにより、ルールが展開または有効化された後に生成されたすべての相関イベントを検索しても相関イベントが返されません。(バグ912820)

解決策: イベント検索ページの［開始］フィールドの値を、フィールドに取り込まれた時間よりも早い時間に変更してから、再び［検索］をクリックします。

問題: アラートビューで［すべて選択］をクリックしてアラートを選択し、いくつかを選択解除してから、アラートを変更すると、更新されたアラートビューで新着アラートも選択されています。変更するために選択したアラート数が間違っているだけでなく、新しい着信アラートも変更されているように見えてしまいます。しかし、初めに選択したアラートのみが変更されています。(バグ904830)

解決策: カスタムの時間範囲でアラートビューを作成すると、新着アラートがアラートビューに表示されません。

問題: 毎秒あたりのイベント数(EPS)の高いロードがあるSentinelシステムに、過去のセキュリティインテリジェンス(SI)データをロードしようとすると時間がかかります。(バグ908599)

解決策: 過去データを含むセキュリティインテリジェンスダッシュボードを作成する場合、可能であれば、システムのロードが少ないときにダッシュボードを展開するようにしてください。現時点ではほかの解決策はありません。

問題: セキュリティインテリジェンスベースラインの再生成中に、ベースラインの開始日と終了日が誤って「1/1/1970」と表示されます。(バグ912009)

解決策: ベースラインの再生成が完了すると、正しい日付にアップデートされます。

問題: 単一のパーティションで索引付けされたイベントが多数ある場合、検索の実行中にSentinelサーバがシャットダウンします。(バグ913599)

解決策: 1日に少なくとも2つのパーティションが開かれるように保持ポリシーを作成します。1つ以上のパーティションが開かれるようにすることで、パーティションで索引付けされたイベント数を減らすことができます。

問題: report_dev_setup.shスクリプトを使用して、ファイアウォール例外のSentinelポートを構成すると、Sentinelでエラーが発生します。(バグ914874)

解決策: 次の手順を実行して、ファイアウォール例外のSentinelポートを構成してください。

問題: Microsoft Active DirectoryおよびWindows Collector上で汎用ホスト名解決サービスコレクタが有効である場合、Sentinel汎用コレクタパフォーマンスが低下します。リモートCollector Manager instancesがイベントを送信するとEPSが50%減少します。(バグ906715)

解決策: 現時点で解決策はありません。

問題: FIPS 140-2モードでSentinelをインストールすると、セキュリティインテリジェンスデータベースへのコネクタが開始されないため、Sentinelはセキュリティインテリジェンス、Netflow、およびアラートデータにアクセスできません。(バグ915241)

解決策: FIPS 140-2モードでインストールと構成をしたら、Sentinelを再起動してください。

問題: Sentinelアプライアンスのインストール時にネットワークインタフェースがデフォルトで構成されません。(バグ867013)

解決策: ネットワークインタフェースを構成するには、次のようにします。

問題: オペレーティングシステムの言語設定が変更されていると、Sentinelで検索結果をエクスポートするときにWebブラウザがエラーを表示することがあります。(バグ834874)

解決策: 検索結果を適切にエクスポートするには、次のいずれかを行ってください。

問題: ディスク容量が2TBを超えるシステムで、Sentinelがインストール後に自動で起動しないことがあります。(バグ846296)

解決策: ワンタイムアクティビティとして、次のコマンドを指定し、Sentinelサービスを手動で開始してください。

問題: Sentinelアプライアンスのインストールで、KerberosモジュールにKerberos認証を設定すると、Kerberosクライアントの環境設定が成功したという確認メッセージがコンソールに表示されます。しかし、Kerberosモジュールを再度表示すると、［Enable Kerberos Authentication］オプションの選択が解除されています。(バグ843623)

解決策: 現時点で解決策はありません。

問題: 1つのレポート結果のPDF(特に、100万イベントの特定のレポート結果の場合)が開くのを待っている間に、別のレポート結果のPDFをクリックしても表示されません。(バグ804683)

解決策: 2番目のレポート結果のPDFをもう一度クリックすると、レポート結果が表示されます。

問題: Sentinel環境でFIPS 140-2モードが有効になっていると、エージェントマネージャにWindows認証を使用したときに、エージェントマネージャデータベースとの同期が失敗します。(バグ814452)

解決策: ご使用のSentinel環境でFIPS 140-2モードが有効になっている場合は、エージェントマネージャにSQL認証を使用してください。

問題: 非FIPS 140-2モードでSentinel高可用性インストールを実行すると、正常に完了しますが、次のエラーが2回表示されます。

解決策: 現時点で利用可能な修正または解決策はありません。インストーラはエラーを表示しますが、Sentinel高可用性環境設定は非FIPS 140-2モードで正常に動作します。

問題: アップグレードパッケージのベンダがNovellからNetIQに変更されたため、Sentinel 7.2よりも前のバージョンからのアプライアンスのアップデートが失敗します。(バグ780969)

解決策: アプライアンスのアップグレードにはzypperコマンドを使用してください。詳細については、『NetIQ Sentinelインストールと設定ガイド』の「zypperを使用したアプライアンスのアップグレード」を参照してください。

問題: 同じ名前の相関ルールがすでにシステムに存在する場合、ソリューションマネージャで相関ルールがインストールされない。NullPointerExceptionエラーがコンソールのログに記録されます。(バグ713962)

解決策: すべての相関ルールに固有の名前を付けるようにしてください。

問題: WebインタフェースからSentinelリンクアクションを実行すると、Sentinelコントロールセンターから実行したSentinelリンクコネクタのインテグレータテストが失敗しても、Sentinelに成功メッセージが表示される。(バグ710305)

解決策: 現時点で解決策はありません。

問題: セキュリティインテリジェンスダッシュボードとアノマリー定義に同じ名前が付いていると、［アノマリーの詳細］ページでダッシュボードリンクが無効になります。(バグ715986)

解決策: ダッシュボードとアノマリー定義を作成するときは、固有の名前を使用してください。

問題: Sentinel WebインタフェースのコンピュータのクロックがSentinelサーバのクロックより遅れていると、Sentinel Webインタフェースで［アクティブな検索ジョブ］の［期間］と［アクセス］列に負の数字が表示される。たとえば、Sentinel Webインタフェースのクロックが1:30PMに設定され、Sentinelサーバのクロックが2:30 PMに設定されていると、［期間］と［アクセス］の列に負の数字が表示されます。(バグ719875)

解決策: Sentinel Webインタフェースのアクセスに使用するコンピュータの時間が、Sentinelサーバコンピュータの時間と同じ、またはSentinelサーバコンピュータの時間より進んでいることを確認してください。

問題: セキュリティダッシュボードにログインし、IssueSAMLToken監査イベントの検索を実行すると、IssueSAMLToken監査イベントが間違ったホスト名(InitiatorUserName)または(IPアドレス) SourceIPを表示します。(バグ870609)

解決策: 現時点で解決策はありません。

問題: イベントデータの収集中、SentinelエージェントマネージャはNULL値のWindows挿入文字列フィールドをキャプチャしません。(バグ838825)

解決策: 現時点で解決策はありません。